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报 业 集团 网 络 安 全 等 级 保护 建设 实践 与 思 


摘 要 : 文章 以 网 络 系统 安 全 等 级 测评 建设 要 点 为 立足 点 ， 阅 述 了 测评 的 重要 性 ， 详 细 对 网 络 安 全 体系 的 建设 要 点 和 日 常 问 
题 进行 了 分 析 ， 为 报 业 集团 技术 人 员 提 供 安 全 等 级 测评 建设 提供 参考 
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引言 个 系统 全 面 参加 测评 ， 这 样 可 以 节省 一 大 笔 测评 费用 。 
随 着 媒体 融合 不 断 深入 ， 新 媒体 业务 在 报 业 集团 不 2. 信息 安全 体系 建设 
一 断 壮大 ， 应 用 系统 逐步 由 原来 的 采编 出 版 系统 转变 为 全 在 等 级 保护 实施 过 程 中 ， 安 全 管理 系统 的 建设 是 保 
Es 媒体 出 版 系统 , 由 原来 内 网 系统 转变 为 外 网 系统 。 近 年 来 ，” 障 网 络 系统 的 基础 ， 是 否 能 够 建立 全 方位 的 安全 管理 体 
一 由 于 新 闻 网 站 的 权重 在 重点 搜索 引擎 中 占 比 越 来 越 高 ， 系 是 等 级 保护 实施 工作 的 重点 。 一 个 完整 的 安全 管理 系 
A 也 成 为 黑客 入 侵 的 重点 对 象 。 境 外 博彩 业 通 过 不 同 的 形 。 统 ( 如 图 ) 包 括 : 安全 管理 机 构 、 技 术 管 理 和 安全 运 维 管理 ， 
| 式 围攻 新 闻 网 站 ， 国 内 多 数 新 闻 网 站 曾经 被 人 侵 ， 网 络 “下面 开 始 详细 介绍 安全 管理 系统 应 该 包括 的 内 容 。 
@ 安全 形势 非常 严峻 。 如 何 保障 网 络 系统 安全 ?网 络 安全 
Co 等 级 保护 可 以 全 面 保障 网 络 系统 的 安全 稳定 运行 。 
人 1. 定 义 测评 对 象 Ee 
A 报 业 集团 现在 主要 业务 系统 有 新 闻 采 编 系统 、 新 媒 二 
去 体制 作 发 布 系统 、 报 道 指 挥 系 统 、 媒 资 系统 、 经 营 管理 
系统 、 办 公 系 统 、 互 联网 邮件 及 中 央 厨 房 等 信息 系统 。 
CS 权 访 问 、 信 息 泄漏 、 非 法 访问 、 病 毒 、 木 马 、APT， 自 丑 安全 管理 机 构 是 管理 网 络 系统 的 最 高 领导 权力 机 构 ， 
© 的 安全 控制 执行 力度 不 够 、 策 略 失 效 、 业 务 漏 洞 等 极 易 ” 最 高 领导 一 般 由 单位 主管 领导 担任 或 授权 担任 ,根据 情 
引发 网 络 安全 风险 。 信 息 系 统 的 等 级 保护 级 别 ， 需 要 从 况 成 立 安全 管理 委员 会 或 安全 管理 领导 小 组 。 安 全 管理 
信息 系统 建设 开始 就 进行 规划 ， 同 时 在 单位 整体 信息 化 机构 设置 主管 、 专 职 安全 管理 员 ， 在 人 员 配 置 上 设立 三 
规划 时 将 整 互联 互通 的 地 方 做 好 边缘 隔离 ， 同 时 共用 部 管理 ， 关 键 岗位 应 由 多 人 共同 管理 。 明 确 审批 事项 和 
分 需要 按 等 级 保护 级 别 的 要 求 取 最 高 级 别 。 ag 


一 般 省 级 报 业 集团 有 10 个 左右 的 三 级 系统 需要 进行 访问、 系统 接 人 、 重 要 活动 ， 建 立 逐 级 审批 制度 和 定期 
等 级 保护 测评 。 近 几 年 报 业 集团 的 经 营 压 力 较 大 ,网络 ”审查 审批 制度 。 设 立 日 常 运行 、 系 统 漏 洞 、 数 据 备 份 等 
安全 硬件 投入 又 较 大 ， 在 等 级 保护 测评 时 ， 如 何 能 够 又 日 常 运行 事项 ， 同 时 将 日 常事 项 制作 成 表格 。 设 立 全面 
省 钱 又 能 全 面 保障 安全 呢 ? 有 些 报 业 集团 选择 单位 的 关 检查 事项 ， 如 策略 与 配置 的 一 致 性 检查 ， 安 全 措施 的 有 
键 基础 信息 设施 进行 测评 ， 其 它 系统 没有 进行 测评 ， 有  ” 效 性 检查 ， 对 重大 事项 应 该 编写 成 报告 进行 总 结 。 

的 甚至 只 选择 一 个 系统 进行 测评 。 也 有 些 报 业 集团 将 所 在 安全 管理 人 员 管 理 方面 ， 需 对 安全 管理 人 员 进行 
有 系统 作为 一 个 系统 来 测评 ， 把 不 同 功能 作为 子 系统 来 “背景 审查 、 技 能 考核 、 签 保密 协议 、 签 订 关 键 岗 位 人 员 
进行 测评 这样， 只 需要 系统 功能 描述 上 对 整体 功能 进 ” 协议 ; 人 员 离 岗 应 及 时 终止 权限 ， 并 要 求 签订 离职 保密 
行 全 面 说 明 ， 同 时 定好 不 同 子 系统 之 间 的 边界 ， 确 保 整 ” 协议 。 在 岗 人 员 需 进行 安全 意识 教育 和 岗位 技能 培训 ， 
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告知 安全 责任 与 惩戒 措施 ; 不 同 岗位 制定 不 同 培训 计划 ; 
定期 对 不 同 岗位 人 员 进 行 技能 考核 。 对 外 部 人 员 访 问 受 
控 区 域 时 ， 需 要 书面 申请 并 取得 授权 后 ， 由 专人 全 程 陪 
同 并 登记 备案 ; 访问 受 控 网 络 时 需 书面 申请 ， 开 设 访客 
账户 , 分 配 权限 , 登记 备案 ; 离 场 后 及 时 清除 来 访 者 权限 ; 
与 外 部 授权 人 员 签 保密 协议 , 不 得 复制 和 泄露 敏感 信息 ; 
核心 关键 区 域 及 应 用 原则 不 允许 外 部 人 员 访 问 。 

系统 安全 建设 包括 依据 备案 等 级 选择 安全 措施 ， 根 
据 风 险 调整 防范 措施 ， 对 网 络 系统 进行 安全 整体 规划 和 
方案 设计 并 形成 配套 文件 ， 完 成 对 安全 整体 规划 及 配套 
文件 的 评审 ， 并 开始 实施 。 在 系统 实施 阶段 需要 选择 符 
合 国家 规定 网 络 安全 产品 和 符合 密码 主管 部 门 有 关 规定 
的 密码 产品 ， 重 要 部 位 产品 需 委托 专项 测试 后 再 进行 选 
择 。 在 自主 软件 方面 ， 需 实际 开发 与 实际 环境 分 离 ， 软 
件 代码 编写 规范 , 开发 过 程 文档 完备 , 程序 资源 库 的 修改 、 
更 新 、 发 布 进行 严格 授权 ,严格 版 本 控制 ， 开 发 活动 需 
要 进行 受 控 并 进行 恶意 代码 检测 。 在 外 采 软 件 方面 需 进 
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软件 ， 规 定 备份 方式 、 介 质 、 频 率 等 ， 制 定 备份 策略 和 
恢复 策略 和 程序 ; 安全 事件 处 置 包括 及 时 报告 安全 事件 、 
制定 安全 事件 报告 与 处 置 管理 制度 , 分 析 原 因 , 总 结 教训 ， 
对 重大 服务 中 断 与 信息 泄露 事件 有 不 同 的 处 理 流 程 与 报 
告 程序 , 建立 联合 防护 和 应 急 机 制 , 处 置 跨 单 位 安全 事件 。 
3. 日 常 管理 问题 与 思考 

言 息 安全 系统 从 信息 安全 管理 、 信 息 安 全 技术 和 信 
息 安 全 运行 三 个 方面 进行 了 全 面 的 约定 ， 通 过 这 三 方面 
的 建设 形成 了 一 套 完备 的 信息 安全 体系 ， 在 落实 到 位 的 
情况 下 ， 完 全 符合 等 级 保护 测评 的 各 项 指标 。 然 后 ， 在 
实际 工作 中 很 多 报 业 集团 安全 体系 往往 流 于 形式 ， 执 行 
不 到 位 ， 只 是 用 于 等 级 保护 测评 。 导 致 这 种 情况 发 生 的 
原因 主要 是 对 网 络 系统 的 安全 防护 意识 不 够 ， 费 用 预算 
不 足 ， 人 员 配 备 不 到 位 ,从 而 导致 安全 策略 执行 不 到 位 ， 
安全 制度 形同虚设 。 有 的 虽然 网 络 安全 等 级 测评 合格 了 ， 
但 网 络 系统 安全 的 隐患 还 很 大 ， 只 有 严格 按照 既定 的 要 
求 进行 日 常 管理 ， 才 能 保障 测评 合格 的 网 络 系统 安全 运 


行 恶 意 代 码 检测 , 并 要 求 其 提供 完备 的 文档 与 使 用 指南 。 
在 工程 实施 时 需 由 专人 管理 实施 过 程 并 制定 工程 实施 方 
案 。 有 条 件 的 报 业 集团 需要 实行 第 三 方 监理 。 在 系统 验 
收 阶段 ， 要 求 具 有 验收 方案 ， 验 收报 告 ， 上 线 前 安全 测 
试 报告 , 包含 密码 应 用 的 安全 性 等 测试 。 在 系统 交付 时 ， 
需要 提供 交付 清单 、 人 员 培 训 、 建 设 过 程 文档 和 运 维 文档 。 

系统 安全 运 维 管理 包括 了 机 房 环境 管理 \ 资 产 管理 、 
运行 监控 、 数 据 备份 、 安 全 措施 的 落实 等 ， 需 要 专人 负 
责 机 房 安 全 管理 。 机 房 环境 的 管理 包括 : 机 房 进出 与 运 
维 管理 、 机 房 安全 管理 制度 ， 含 敏感 信息 介质 和 文档 不 
随意 放置 ， 对 出 入 人 员 按 级 别 授权 ,重要 区 域 实 时 监控 ; 
产 管 理 包括 : 资产 清单 、 资 产 标 识 管理 及 资产 管理 人 
员 ; 机 房 介质 管理 包括 : 安全 存放 ,专用 介质 专人 管理 ， 
定期 盘点 , 介质 流转 控制 并 记录 ; 漏洞 与 风险 管理 包括 : 
检查 、 及 时 修补 或 评估 后 修补 ， 风 险 测评 并 形成 报告 及 
采取 措施 应 对 。 制 定 重 要 设备 配置 与 操作 手册 ， 记 录 运 
维 日 志 ， 分 析 日 志 与 监控 数据 ;操作 中 保留 日 志 ， 同 步 
更 新 配置 库 ; 严格 运 维 工具 使 用 ， 保 留 日 志 ， 及 时 删除 
敏感 信息 ; 恶意 代码 防范 管理 包括 外 来 接 人 要 先 查 杀 病 
毒 、 规 定 恶意 代码 防范 要 求 、 检 查 病毒 库 升 级 ， 并 分 析 
捕获 样本 ， 定 期 验证 防 病毒 技术 措施 的 有 效 性 ; 备份 与 
恢复 管理 包括 识别 需 备份 的 重要 业务 信息 、 系 统 数 据 与 
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